Configurar Fortigate 60D/Wifi FTTH Movistar 100/10MB

Para temas relacionados con el enrutamiento (estatico, basado en politicas, RIP, OSPF,...)
dani-mod
Mensajes: 3
Registrado: 15 Feb 2014, 11:18

Configurar Fortigate 60D/Wifi FTTH Movistar 100/10MB

Mensaje por dani-mod »

Hola!

Recientemente me han puesto una fibra FTTH 100/10. Sólo internet + teléfono, sin imagenio.
Tengo conectado al ONT el router de Movistar, un Comtrend VG-8050.
La idea es quitar el Router de Movistar y sustituirlo por el Fortigate Wifi 60D

Para el tema de la línea de teléfono, como voy a utilizar uno tradicional lo conecto directamente al ONT y así no tengo que configurar nada en el router de SIP etc.

Pero: ¿Se puede SUSTITUIR el router por el Forti? es decir, quiero evitar dejar el de Movistar en modo neutro y detrás el Forti. Lo que quiero es conectar directamente el Forti al ONT y que haga de Router directamente.

¿Alguien se ha encontrado con éste escenario?, podría decirme si es viable o tiene alguna limitación técnica o casuística que tenga que tener en cuenta?

GRACIAS!
iescudero
Mensajes: 89
Registrado: 26 Sep 2012, 12:03

Re: Configurar Fortigate 60D/Wifi FTTH Movistar 100/10MB

Mensaje por iescudero »

Buenas
El Router de Movistar no hace nada en layer2 o layer1? es decir, hace algo con la señal de fibra? o levanta frame relay u otro protocolo de capa 2 para conectarse a Internet?

Pregunto esto porque es algo que el Fortigate no puede hacer, solo maneja layer3 o 4 si se quiere, entonces si el router de telefonica solo tiene configurada una IP, mascara y gateway, entonces podes hacer el cambio por el Fortigate tranquilamente.

Espero que sirva y conta como te fue.

Saludos!
dani-mod
Mensajes: 3
Registrado: 15 Feb 2014, 11:18

Re: Configurar Fortigate 60D/Wifi FTTH Movistar 100/10MB

Mensaje por dani-mod »

Bueno parece que va a ser posible. Todavía no lo he probado, pero lo único que necesito es que el router sorte VLAN taggin (802.1q). Lo que hace telefónica es que te pone un ONT que transforma la fibra en cobre y ahí se conecta el router. Por tanto creo que es viable.

Hay mucha información acerca de sustituir el router, pero claro, no hablan de Fortigate´s ya que normalmente en casa no te gastas este dinero en un UTM.

Os voy contando a ver si es posible...
iescudero
Mensajes: 89
Registrado: 26 Sep 2012, 12:03

Re: Configurar Fortigate 60D/Wifi FTTH Movistar 100/10MB

Mensaje por iescudero »

Buenas, pregunto porque no se.
Cuando decis ONT te referis a un Transceiver (tambien llamados Media Coneverter)? basicamente seria un equipo que transfoma un tipo de señal por otro tipo, en este caso de Luz a Electricidad.
por ejemplo aca encontras imagenes de transceivers:

[Debes identificarte para poder ver enlaces.]
[Debes identificarte para poder ver enlaces.]

Si es algo similar, entonces si, es totalmente posible cambiar el Router del proveedor por un Fortigate o cualquier otro equipo con arquitectura Ethernet.

Saludos!
xapxap
Mensajes: 3
Registrado: 13 May 2014, 15:36

Re: Configurar Fortigate 60D/Wifi FTTH Movistar 100/10MB

Mensaje por xapxap »

Hola,

¿pudiste configurar el Fortigate 60D con la fibra de Movistar?
Tengo que hacer exactamente la misma configuración que tu y me gustaria saber si te funcionó...

Gracias y saludos!
Dexter
Mensajes: 20
Registrado: 09 Ene 2014, 01:34

Re: Configurar Fortigate 60D/Wifi FTTH Movistar 100/10MB

Mensaje por Dexter »

en teoria si debe de funcionar , ya que ellos aparte de sus equipos te entregan un enlace que como dice te dejan un equipo que convierte de fibra a cobre , tuve un escenario similar , sin embargo yo no configure su equipo si no un 100D , sin problema alguno .
solo asegurar que la gente te de bien los datos antes de realizar cualquier modificacion has la prueba mas sencilla conecta tu lap directamente al puerto de cobre y pon ip statica con el segmento publico que ellos te dieron si da internet , genial , puedes poner tu forti y adelante



saludos.
danramirez
Mensajes: 1
Registrado: 03 Ago 2014, 23:20

Re: Configurar Fortigate 60D/Wifi FTTH Movistar 100/10MB

Mensaje por danramirez »

si funciona, yo he conectado muchos fortis con ftth de movistar en españa.

es muy sencillo, debes crear una vlan en el puerto wan1 y el VID de la Vlan tiene que ser el 6. puedes llamar a la nueva interfaz "ftth"

Luego configura la interfaz ftth igual como si fuera una interfaz física, pppoe usuario adslppp@telefonicanetpa contraseña adslppp y conecta un latiguillo desde el puerto wan1 del forti al puerto eth1 de la ont.

Es importante seleccionar retrieve gateway from server cuando configures el pppoe y recuerda que todas tus politicas hacia internet deben ser a través de ftth y no de wan1.

saludos,

daniel
asmfinal
Mensajes: 1
Registrado: 22 Sep 2014, 20:50

Re: Configurar Fortigate 60D/Wifi FTTH Movistar 100/10MB

Mensaje por asmfinal »

Alguien a configurado un fortigate en sustitucion del COMTREND de Movistar con Voip e Imagenio ??

He visto varias configuraciones para openwrt y mikrotic, pero nada para fortigate.

Saludos
dani-mod
Mensajes: 3
Registrado: 15 Feb 2014, 11:18

Re: Configurar Fortigate 60D/Wifi FTTH Movistar 100/10MB

Mensaje por dani-mod »

Lo dicho, todo ok, pero me falta poner el imagenio. ¿se pone la VLAN2 a la WAN1?... de momento no me funciona...
fatality
Mensajes: 2
Registrado: 11 Nov 2015, 12:48

Re: Configurar Fortigate 60D/Wifi FTTH Movistar 100/10MB

Mensaje por fatality »

Buenas tardes a todos, yo llevo semanas para intentar ver movistar + tv a traves de un forti 60D y nada, no lo. consigo.
Ok a los datos, Ok a la VoIP pero no a la config para ver la tv, alguien lo consiguió?

Saludos.
ralvare.lugones
Mensajes: 1
Registrado: 26 Nov 2015, 19:42

Re: Configurar Fortigate 60D/Wifi FTTH Movistar 100/10MB

Mensaje por ralvare.lugones »

Lo veo complicado porque primero tendrías que saber la IP privada de rango 10.x.x.x asignada al deco, tráfico tageado 802.1q con idVLAN 2, luego hay una configuración de DHCP condicional para el deco... dime que topología tienes creada: p.ej. ONT->FORTI->puertos LAN del forti con los distintos servicios o bien ONT->Router Movistar->Forti->puertos LAN y vemos que se puede ir haciendo. Espero que tu controles de Forti, yo se de comunicaciones y en especial comunicaciones de Movistar, pero de Forti... pez :-)
TuXeDoO
Mensajes: 5
Registrado: 22 Feb 2016, 19:32

Re: Configurar Fortigate 60D/Wifi FTTH Movistar 100/10MB

Mensaje por TuXeDoO »

Buenas,

Estoy muy interesado en este tema, he investigado bastante puesto que no existe información en INET. Para navegar no hay problema, pero para el tema de 'imagenio' no es tan sencillo (yo por el momento no lo he conseguido). Paso un resumen de la configuración que estoy aplicando sobre un equipo Fortigate intentando sustituir el router de movistar. Adjunto mapa por si pudieran surgir dudas:

ONT_ _ _ _ _ _Voz (en mi caso está directa a la ONT)
|
|
|(Wan1)
FORTIWIFI/FORTIGATE
| :arrow: |
| :arrow: |Imagenio (Modo Switch)*
| :arrow: IMAGENIO
|
|Internal(Modo Switch)*
PC/TV/PS4 (LAN)

Es complicado de ver, pero de la ONT tengo 2 salidas (Una para el telf. y la segunda contra el Forti). Finalmente, desde el forti tengo 2 LANs (Una para la los equipos que quieren navegar, y una segunda para Imagenio)

-------------------------------------------------------------------------------------
Config Interfaces
-------------------------------------------------------------------------------------

--------------------------------Interfaz WAN1 --> Contra ONT----------------

Vlan_6_INET - PPoE (INET)
Vlan_2_Imagenio (Imagenio) - Config. manual con Nivel 3 (IP/Mask asignada al deco movistar sobre el cual se realizara NAT).

--------------------------------Interface Modo Switch 'Internal'--------------

(*Agregación de 5 puertos en modo Switch, del 1 al 5 de los etiquetados como 'Internal' a nivel de Fortigate).

Nivel 3
192.168.2.1/255.255.255.0

DHCP (Enable) --> Desde la IP 192.168.2.128 a 192.168.2.254 (En principio transparente puesto que se trata de la configuración

--------------------------------Interface Modo 'Imagenio'----------------------

(*Único puerto 'Internal 6' exclusivo para imagenio).

Nivel 3
192.168.1.1/255.255.255.0

DHCP (Enable) --> Desde la IP 192.168.1.200 a 192.168.2.223
Specify DNS --> 172.26.23.3

-------------------------------------------------------------------------------------
Config Routing
-------------------------------------------------------------------------------------

RIP
IP/Netmask
10.0.0.0/255.0.0.0
Vlan_2_Imagenio (Version 2)
Authentication 'None'
Passive

El resto del routing se aprende del PPoE.

-------------------------------------------------------------------------------------
NATs/Policys
-------------------------------------------------------------------------------------

config firewall policy
edit 6
set srcintf "Internal"
set dstintf "Vlan_6_INET"
set srcaddr "all"
set dstaddr "all"
set action accept
set schedule "always"
set service "ALL"
set logtraffic all
set nat enable
next
edit 2
set srcintf "Imagenio"
set dstintf "Vlan_2_Imagenio"
set srcaddr "all"
set dstaddr "all"
set action accept
set schedule "always"
set service "ALL"
set logtraffic all
set nat enable
next
edit 3
set srcintf "Vlan_2_Imagenio"
set dstintf "Imagenio"
set srcaddr "all"
set dstaddr "all"
set action accept
set schedule "always"
set service "ALL"
set logtraffic all
set nat enable
next
edit 4
set srcintf "Imagenio"
set dstintf "Vlan_6_INET"
set srcaddr "all"
set dstaddr "all"
set action accept
set schedule "always"
set service "ALL"
set logtraffic all
set nat enable
next
end

Hasta el momento todas las políticas tienen un ANY con los NATs correspondientes, falta afinarlas todo una vez funcione la TV.

.........................................................

Lo mismo la config. es un poco densa :mrgreen: :mrgreen: para entender lo que trato de transmitir, si alguien tiene interés en compartir información no tengo problema. Por mi parte, creo que quedan pendientes algunas cosillas que se me escapan:

- IGMP, no tengo claro que config hay que aplicar. Yo he aplicado la siguiente config. de multicast:

Vlan_2_Imagenio Dense
Imagenio Dense

Según lo que he visto por INET, pero no tengo claro que tenga que tener dicha config.

- Por otro lado el tema de los NATs. Creo y según las pruebas que he realizado que todo está (OK), es más analizando el tráfico con la configuración que he comentado, se llega a establecer comunicación. Adjunto una captura de la interface directamente conectada contra el deco, en mi caso el imagenio tiene asiganada por DHCP la ip (192.168.1.200).

1565.068814 192.168.1.200.60330 -> 80.58.63.218.7008: syn 1059710185
1565.071462 80.58.63.218.7008 -> 192.168.1.200.60330: syn 2480739671 ack 1059710186
1565.072437 192.168.1.200.60330 -> 80.58.63.218.7008: ack 2480739672
1565.073186 192.168.1.200.60330 -> 80.58.63.218.7008: psh 1059710186 ack 2480739672
1565.075582 80.58.63.218.7008 -> 192.168.1.200.60330: 2480739672 ack 1059710280
1565.075611 80.58.63.218.7008 -> 192.168.1.200.60330: psh 2480741112 ack 1059710280
1565.076560 192.168.1.200.60330 -> 80.58.63.218.7008: ack 2480741112
1565.076604 192.168.1.200.60330 -> 80.58.63.218.7008: ack 2480741969
1565.084305 192.168.1.200.60330 -> 80.58.63.218.7008: psh 1059710280 ack 2480741969
1565.084805 192.168.1.200.60330 -> 80.58.63.218.7008: rst 1059710287 ack 2480741969
1565.086441 80.58.63.218.7008 -> 192.168.1.200.60330: ack 1059710287
1565.086683 192.168.1.200.60330 -> 80.58.63.218.7008: rst 1059710287

1695.200990 192.168.1.200.37539 -> 172.26.22.23.2001: syn 3111046224
1695.212518 172.26.22.23.2001 -> 192.168.1.200.37539: syn 856781255 ack 3111046225
1695.212991 192.168.1.200.37539 -> 172.26.22.23.2001: ack 856781256
1695.213243 192.168.1.200.37539 -> 172.26.22.23.2001: psh 3111046225 ack 856781256
1695.222874 172.26.22.23.2001 -> 192.168.1.200.37539: psh 856781256 ack 3111046447
1695.224851 192.168.1.200.37539 -> 172.26.22.23.2001: ack 856782214

Incluso contra el DNS que hemos configurado en la interface del deco:

1565.029211 192.168.1.200.54344 -> 172.26.23.3.53: udp 41
1565.067105 172.26.23.3.53 -> 192.168.1.200.54344: udp 113

-------------------------------

Conclusión, he dedicado un rato al tema y estoy algo confuso en como continuar, ¿alguien puede arrojar algo de luz?. Sería interesante que tuviéramos más acceso a la config. de los equipos que tenemos montado en cada para por replicarlo.

Si necesitáis cualquier aclaración, o alguno de los puntos es confuso comentármelo.

Saludos.
Avatar de Usuario
gabyrossi
Mensajes: 10898
Registrado: 30 Oct 2007, 19:47

Re: Configurar Fortigate 60D/Wifi FTTH Movistar 100/10MB

Mensaje por gabyrossi »

:roll: Luego de leer todo ... cual es el problema a resolver?
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
TuXeDoO
Mensajes: 5
Registrado: 22 Feb 2016, 19:32

Re: Configurar Fortigate 60D/Wifi FTTH Movistar 100/10MB

Mensaje por TuXeDoO »

Como indico en el primer párrafo:

"Para navegar no hay problema, pero para el tema de 'imagenio' no es tan sencillo (yo por el momento no lo he conseguido)"

Es decir, Internet funciona perfectamente pero el deco de imagenio NO, es lo que se está comentando en el foro.

Saludos.
TuXeDoO
overcrak
Mensajes: 1
Registrado: 03 Dic 2015, 10:57

Re: Configurar Fortigate 60D/Wifi FTTH Movistar 100/10MB

Mensaje por overcrak »

Hola,

Después de buscar por los foros de forti, di con la solución al problema de ver imagenio a través del forti y quitar el router de movistar. A esta solución he añadido algún paso más para completarla.

Espero que el aporte os ayude.
Un saludo.

[Debes identificarte para poder ver enlaces.]
Responder